はじめに こんにちは。PKSHA Technology で SWE をしている須藤です。 npm エコシステムを標的としたサプライチェーン攻撃はすでに現実のリスクです。2026 年 3 月には、週間 8,000 万ダウンロードを超える axios のメンテナーアカウントが乗っ取られ、悪意ある依存パッケージを通じてクロスプラットフォーム対応の RAT（遠隔操作ツール）を配布される事件も起きています。こうした攻撃への対策として、リリース直後のパッケージのインストールを遅延させる仕組み（pnpm の minimumReleaseAge など）が主要パッケージマネージャへ広がっています。 し...

💾

はじめに こんにちは konippi です。 2026 年 3 月、脆弱性スキャナーのTrivy が侵害されたことは大きなニュースとなりました。攻撃者は GitHub Actions ワークフローの設定 pull_request_target を悪用して PAT を窃取し、Trivy の公式リリースにクレデンシャルスティーラーを注入。数千の CI/CD パイプラインに影響を与えました。同時期に axios の npm パッケージ侵害や、 prt-scan キャンペーンも発生しています。 これらに共通するのは、信頼されたソフトウェアサプライチェーンの一部が侵害され、ソフトウェアの配布チ...

💾

最近は なんでもかんでも、ぜーーーーんぶ、 Tailwind CSS。 なぜならAIが吐き出すのがTailwindだから。AIにCSSなんて書かせたら余計カオスになるから。 そんな、Tailwind CSSが圧倒的一強となった世の中で、自分は今「Lism CSS」 という CSS設計フレームワークを開発しています。 しかし「こんなAI時代に今さら新しいCSS設計理論？フレームワーク？バカじゃねーの」という声が聞こえてきます。「WEBサイトなんてAIが一瞬で作れるしCSSなんて書く必要も覚える必要もなくなるのに」と。 ぐぬぬ...たしかに。 とは自分でも少し思ってしまうものの、はたして本当...

💾

! これは筆者が業務の経験をもとに考察した内容であり、筆者が所属する会社の実際の方針や運用を示すものではありません。あくまで一考察としてお楽しみください。 スキルとは、今や多くのコーディングAIエージェントに組み込まれた機能です。自然言語で示された条件を元にAIが自動的にスキルを起動することで、スキルとして設定されたプロンプトをAIが読み込み、それに従ってAIが動くというものです。また、いわゆるスラッシュコマンドとして、ユーザーが明示的にスキルの使用を指示することもできます。 現在、スキルはAIを拡張し、カスタマイズする主要な手段として用いられています。つまり、良いスキルを用意してあげ...

💾

はじめに カウシェでは、PRの83%が人間のコードレビューを経ずに自動でマージされています。 GitHub Actions上で動くAIレビュー（Claude Code Action）がPRを自動でApproveし、CIが通ればそのまま自動マージされる仕組みです。 本記事では、レビュールールを毎晩自動改善する仕組みを作ることで、自分たちの運用で許容できるレベルまでAIレビューの精度を引き上げた話を書きます。 これが成り立つ前提 カウシェはtoCのECプラットフォームで、バックエンド・フロントエンド・モバイルを1つのモノレポで開発しています。 決済や認証など不可逆な領域は人間がレビュ...

💾

はじめに こんにちは、英国リバプール大学のGeographic Data Science LabでPhDをしている佐藤と申します。 私はCity2Graphという、地理空間データをグラフニューラルネットワーク（GNN）向けのグラフ表現に変換するPythonライブラリを開発しています。以前Zennでも紹介記事とOverture Maps対応の記事を書かせて頂きました。 https://github.com/c2g-dev/city2graph 大変ありがたいことに、「地理空間データ × GNN」というニッチな領域にも関わらず、様々な方に興味を持って頂き、公開から1年で1,000 Gi...

💾

——先輩、まさか私立探偵に鞍替えしていたとは思いませんでしたよ 真実から逃げたのさ。プロジェクト炎上の責任を一人でかぶろうとしたと人は言うが、ただ臆病だっただけだ。ずぶ濡れの子犬みたいにな。 半地下のこの店では外の雨音が、店内にも少し聞こえ続ける。カウンターで隣のスツールに座る後輩と俺の間には、まだ再会したばかりのぎこちなさも残っている。 薄くかかったビル・エヴァンスのピアノの音は、そんな空気の上を転がって消えていく。氷とグラスのぶつかる音だけが、やけに正確な秒針みたいに夜を刻んでいた。 こいつは元SIer時代、10年以上後輩だった男で、色々と指南してやった。腐れ縁で時々飲みに行くが、...

💾

松尾研究所の太田・尾崎です． 昨今自律的な行動をとることのできるエージェントが流行っていますが，これらはLLMに外部環境との作用が可能なツールを持たせたものとみなすことができます．なのでAgentが適切に行動するにはWeb検索や書類作成等のツールを適切に利用することが必須であり，そのためには正しい指示（ツールのマニュアル）やロバストなツール設計（MCPといったプロトコル化）が重要になります． そうしたなか，ツールの利用方法を推論時にコンテキストで渡すのでなく，事後学習のタイミングであらかじめ教える「Tool/Agentic Reinforcement Learning」（以後 Agent...

💾

こんにちは！「家族アルバム みてね」（以下 みてね）で、CRE（Customer Reliability Engineering）をしているささたつです。 みてねは、子どもの写真や動画を家族で共有し、成長の記録を振り返られるサービスです。 はじめに ある日、1件のお問い合わせが届きました。 「サムネイルの色味が変なんですが…」 正直、この時点では軽微な表示の問題だと思っていました。 しかし調査を進めると、この問題は毎日3万件以上のサムネイルに影響していることがわかりました。 この記事では、お問い合わせを起点に、 原因特定までの流れ どうやって安全に改善を行ったのか 改善の影響を...

💾

ブラウザ上で100MB程度のグラフデータを高速に分析している様子 こちらは、ブラウザ上で28万ノード・47万エッジのグラフデータ(100MB程)をリアルタイムにクエリしている様子です。サーバーとの通信は一切なく、すべてWebAssemblyでクライアントサイド完結しています。 本記事では、このプロトタイプの技術選定から実装までの過程と、そこから得られた知見を共有します。 ! 実際に動くプレビューアプリをこちらからお試し頂けます。 (100MB程のグラフデータを生成するため最初に数秒ロード処理が走ります。 数秒待ってもスクショのような画像にならない場合はブラウザをリロードしてみて下さい)...

💾

Mac (M1 - メモリー16GM) でローカル LLM を動かして、それを AI エージェントのバックエンドにしたい——そういう用途に Bonsai-8B-mlx と Goose の組み合わせが使えます。この記事では両者の概要を紹介しつつ、実際につないで動かすまでの手順と詰まりやすいポイントをまとめます。 Bonsai-8B-mlx とは Bonsai-demo は PrismML が公開している Apple Silicon 向けの LLM デモリポジトリです。モデル本体は Bonsai-8B-mlx で、MLX フォーマットで配布されています。 MLX は Apple が開発し...

💾

はじめに PKSHA Technology のソフトウェアエンジニアの許です。私が担当する PKSHA AI ヘルプデスクでは、社内ドキュメントをもとに AI が回答を生成する RAG（Retrieval-Augmented Generation）ベースのチャットエージェント機能を提供しています。ユーザーが質問を投げると、AI がクラウドストレージ上のドキュメントを検索し、根拠を示しながら回答を返します。 こうしたプロダクトでは、AI の回答だけでなく「その根拠となった元のドキュメントを確認したい」というニーズが生まれます。とくに PDF ファイルの場合、テキストの抜粋を見せるだけで...

💾

SOLID原則、クリーンアーキテクチャ、ヘキサゴナルアーキテクチャ――。 設計について学ぼうとすると、いきなり抽象度の高い概念が押し寄せてきます。依存性逆転の原則って何だろう。ポートとアダプターって具体的にどうやるんだろう。そう途方に暮れた経験は、多くの人にあるのではないでしょうか。 この記事では、もっとシンプルな原則を提案します。 入力・処理・出力を分ける たったこれだけです。 IPOモデル(Input-Process-Output model)と呼ばれるこの考え方は、プログラミングの教科書で最初に学ぶ概念のひとつです。しかし、実際のコードでこれを意識して守れている人は意外と少ないかも...

💾

Gemma 4 vs Qwen 3.5 — DGX Spark × llama.cpp でMoEモデル対決ベンチマーク はじめに Google から Gemma 4 がリリースされました。Apache 2.0 ライセンスで、MoE（Mixture-of-Experts）を含む 4 つのモデルが公開されています。 クラスメソッド森茂さんの「Gemma 4 を DGX Spark で動かして日本語とマルチモーダルをベンチマークしてみた」では、Ollama を使った Gemma 4 全モデルの包括的なベンチマークが紹介されています。非常に参考になる記事で、DGX Spark 上での各モ...

💾

🚀 はじめに おぐまです。 Google が 2026年4月2日に Gemma 4 をリリースしました。Apache 2.0 ライセンスで使えるオープンモデルで、ローカルで動かしている人にとってかなり嬉しい内容になっています。「また(新しいモデル)かよ、、」と思う方もいるかもしれませんが、今回は個人開発者・ローカルLLM勢的に注目ポイントが多いので紹介します。 📰 何が発表された？ Gemma 4 は Gemini 3 と同じ研究をベースにした、Google の最新オープンモデルファミリーです。ラインナップは次のとおりです。 モデル パラメータ 用途 E2B 2B（...

💾

Claude Codeを使い始めたときに驚いたのは、ファイルを探索して構造や問題点を探し当てるのが上手なことでした。詳細なコマンドを指示しなくても、grepやfindを自ら実行して、コードベースを読み解いて回答を返してくれます。 でも、精度が期待よりも低かったり、何かよくわからない処理を延々と繰り返していることもあります。たとえば次のようなことです。 直前のやり取りや自分の回答に引っ張られて、遠回りなやり方に固執する 会話が長くなるにつれて、途中の情報を見落としたり最初に渡した指示を忘れたりして精度が下がる その一方、CLIツールはAIエージェントのような柔軟性は高くありませんが、機...

💾

この本では、Claude Agent SDK (Python) を用いて、Claude Code方式の「ヒアリング → 深掘り → 成果物を出す」対話型ワークフローを持つAIエージェントを開発していきます。つくりながら学ぶことを重視し、最小限のコードでSDKを動かすところから始めて、MCP連携やサブエージェントを活用するアプリ開発まで、ステップバイステップで学べます。 旅行プランナーを題材に、ターミナルで動く対話型エージェントを開発した後は、React + FastAPI + WebSocket でWeb UIをつけてアプリの体裁に仕上げます。サンプルコードはGitHubで公開しているので、手元で動かしながら進められます。 500円と設定していますが投げ銭用です。本文は全て無料で読めます。

💾

はじめに こんにちは！サロンスタッフ予約サービス「minimo」でエンジニアをしている Nozomuts です。 個人的に GitHub Copilot（以降: Copilot）にとてもお世話になっているので、自分なりの設定や良いなと思っている点をメモとしてまとめてみました！（2026/4 時点） 長めの記事なので、気になるところから拾い読みしてもらえればと思います。 基本的なことも多いですが、どなたかの参考になれば嬉しいです！ ! 本記事は個人の検証結果と現時点の理解に基づくメモです。 記載しているプロンプトやコードは雑な内容になっておりますので、もしご利用いただく際はお手数ですが...

💾

はじめに Claude Codeを業務で使い倒していると、ふとこんな不安がよぎります。 「AIがローカルの .env 読んだりしないよな…？」 「会話履歴ってどこまで残ってるんだろう」 「サンドボックスなしで野良コマンド実行させていいのか」 今回は、Claude Codeのセキュリティ設定を本格的に固めた手順をまとめました。 設定ファイルを直接いじるので少し技術的な内容ですが、コードブロックはそのままコピペで使えます。 やったこと7つ .env ファイルを読み込まないようにdenyルールを追加 file-history フォルダを毎日自動削除 dotenvx で .en...

💾

! この記事は「GitHub Copilot のメモリ機能」についての連載記事の第1回です。2026年4月時点の情報に基づいています。 GitHub Copilot は自ら学ぶ: Copilot Memory 入門（この記事） VS Code で GitHub Copilot のメモリ機能を使ってみた Copilot CLI で GitHub Copilot のメモリ機能を使ってみた Copilot Cloud Agent で GitHub Copilot のメモリ機能を使ってみた Copilot Memory のベストプラクティス GitHub Copilot のメモリ機能...

💾